Tento postup slouží ke konfiguraci bezdrátového profilu protokolu PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) pro bezdrátové počítače se systémy Windows XP a Windows Server 2003.

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ekvivalentní oprávnění.

Konfigurace bezdrátového profilu PEAP-TLS pro počítače se systémem Windows XP

  1. Otevřete dialogové okno Nové zásady bezdrátové sítě (IEEE 802.11) systému Windows XP - vlastnosti.

    Na kartě Obecné proveďte tyto akce:

    1. Do pole Název zásady systému XP zadejte název pro zásadu bezdrátové sítě.

    2. Do pole Popis zadejte popis zásady.

    3. V poli Sítě pro přístup vyberte možnost Pouze sítě přístupových bodů (infrastruktura) nebo Všechny sítě k dispozici (upřednostňované přístupové body).

    4. Vyberte možnost Konfigurovat nastavení bezdrátové sítě klientů pomocí systému Windows.

  2. Na kartě Upřednostňované sítě klikněte na tlačítko Přidat a potom vyberte možnost Infrastruktura. Na kartě Vlastnosti sítě nakonfigurujte následující nastavení:

    1. Do pole Síťový název (SSID) zadejte identifikátor sítě SSID (Service Set Identifier).

      Poznámka

      Zadaná hodnota musí odpovídat hodnotě nakonfigurované na přístupových bodech nasazených v síti.

    2. Do pole Popis zadejte popis pro Nové upřednostňované nastavení - vlastnosti.

    3. Ve skupině Vybrat metody zabezpečení pro tuto síť vyberte pro položku Ověřování buď možnost WPA2 (upřednostňováno), nebo WPA. V části Šifrování vyberte možnost AES nebo TKIP.

      Poznámka

      Nastavením WPA2 a WPA v zásadách bezdrátové sítě (IEEE 802.11) systému Windows XP odpovídají v zásadách bezdrátové sítě (IEEE 802.11) systému Windows Vista nastavení WPA2-podnikové a WPA-podnikové.

      Poznámka

      Po výběru možnosti WPA2 se zobrazí další nastavení pro možnost Rychlý roaming. Výchozí nastavení pro Rychlý roaming je postačující pro většinu nasazení bezdrátových sítí.

  3. Klikněte na kartu IEEE 802.1X. Jako Typ protokolu EAP je ve výchozím nastavení vybrána možnost Protokol PEAP (Protected EAP).

    Zbývající výchozí nastavení na kartě IEEE 802.1X jsou postačující pro většinu nasazení bezdrátových sítí.

  4. Klikněte na příkaz Nastavení. V dialogovém okně Vlastnosti protokolu Protected EAP proveďte následující akce:

    1. Zaškrtněte políčko Ověřit certifikát serveru.

    2. Chcete-li určit, které servery RADIUS (Remote Authentication Dial-In User Service) budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.

    3. V části Důvěryhodné kořenové certifikační úřady vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikát serveru pro váš server NPS (Network Policy Server).

      Poznámka

      Toto nastavení vymezuje, které kořenové certifikační autority jsou pro klienty důvěryhodné. Nejsou-li vybrány žádné důvěryhodné kořenové certifikační autority, budou klienti důvěřovat všem důvěryhodným kořenovým certifikačním autoritám ve svém úložišti důvěryhodných kořenových certifikačních autorit.

    4. Chcete-li zlepšit zabezpečení a zjednodušit uživatelské rozhraní, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů.

    5. V části Vyberte metodu ověřování zvolte možnost Čipová karta nebo jiný certifikát.

    6. Chcete-li povolit rychlé obnovení připojení protokolu PEAP, zaškrtněte políčko Povolit rychlé obnovení připojení.

    7. Chcete-li vyžadovat, aby architektura NAP (Network Access Protection) kontrolovala stav klientů a zjišťovala, zda splňují požadavky na stav, než jim bude povoleno připojení k síti, zaškrtněte políčko Vynutit architekturu NAP (Network Access Protection).

    8. Chcete-li vyžadovat hodnotu TLV (Type-Length-Value) kryptografických vazeb, zaškrtněte políčko Odpojit, nenabízí-li server metodu kryptovazeb TLV.

    9. Chcete-li nakonfigurovat klienty tak, aby do doby, dokud neověří server RADIUS, neodesílali svou identitu v nezašifrované podobě, zaškrtněte políčko Povolit osobní údaje identity a zadejte do pole Anonymní identita jméno či hodnotu nebo ponechte toto pole prázdné.

      Je-li například políčko Povolit osobní údaje identity zaškrtnuté a jako anonymní identitu použijete hodnotu guest, bude odpovědí identity pro uživatele s identitou alice@realm toto: guest@realm. Pokud políčko Povolit osobní údaje identity zaškrtnete, ale nezadáte hodnotu anonymní identity, bude odpověď identity tato: @realm.

    10. Chcete-li nakonfigurovat vlastnosti protokolu PEAP-TLS, klikněte na tlačítko Konfigurovat a potom v okně Vlastnosti čipové karty nebo jiného certifikátu nakonfigurujte podle potřeby následující položky:

      • Ve skupině Pro připojení vyberte buď možnost Použít čipovou kartu, nebo vyberte obě tyto možnosti: Použít certifikát v tomto počítači a Použít zjednodušený výběr certifikátu (doporučeno).

      • Pokud chcete vyžadovat, aby přístupoví klienti ověřovali certifikát serveru NPS, zaškrtněte políčko Ověřit certifikát serveru.

      • Chcete-li určit, které servery RADIUS budou muset klienti s drátovým přístupem používat k ověřování a autorizaci, zaškrtněte políčko Připojit k těmto serverům a zadejte název každého požadovaného serveru RADIUS přesně tak, jak je uveden v poli subjektu certifikátu serveru. Jednotlivé názvy serverů RADIUS oddělujte středníkem.

      • V části Důvěryhodné kořenové certifikační úřady vyberte důvěryhodnou kořenovou certifikační autoritu (CA), která vydala certifikáty pro servery NPS ve vaší síti.

      • Chcete-li určit, aby klienti používali při pokusu o přístup alternativní jméno, zaškrtněte políčko Pro připojení použít jiné uživatelské jméno.

      • Chcete-li předejít zobrazení výzvy uživatelům, aby důvěřovali certifikátu serveru, pokud je tento certifikát nesprávně nakonfigurován, dosud nebyl důvěryhodný nebo oboje, zaškrtněte políčko Nezobrazovat výzvu k ověření nových serverů nebo důvěryhodných certifikačních úřadů. (Doporučeno)

      • Kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti čipové karty nebo jiného certifikátu a potom opět kliknutím na tlačítko OK zavřete dialogové okno Vlastnosti protokolu Protected EAP a vrátíte se do okna Nové zásady pevné sítě systému Vista - vlastnosti.

Obsah